PowerPoint のマウスオーバーだけで感染:Graphite マルウェアは VBA 非依存で攻めてくる

Hackers use PowerPoint files for ‘mouseover’ malware delivery

2022/09/26 BleepingComputer — ロシア政府に所属すると思われるハッカーが、Microsoft PowerPoint プレゼンテーションのマウスの動きにより、悪意の PowerShell スクリプトをトリガーする、新しいコード実行テクニックを使用し始めたようだ。悪意のマクロに依存することなく、悪意のコードを実行しペイロードをダウンロードできるため、脅威アクターはより狡猾に攻撃を行うことができる。脅威情報企業 Cluster25 のレポートでは、9月9日の時点で、ロシアの参謀本部主要情報局 (GRU:Main Intelligence Directorate of the Russian General Staff) に帰属する脅威グループ APT28 (通称 Fancy Bear) が、この新しい手法を用いて Graphite マルウェアを配信していると報告されている。

この脅威アクターは、経済発展/貿易促進のためのグローバル政府間組織である、経済協力開発機構 (OECD:Organization for Economic Co-operation and Development) に装う PowerPoint (.PPT) ファイルで標的を誘導する。

この PPT ファイルの中には、ビデオ会議アプリ Zoom の通訳オプションの使い方を、英語/フランス語で説明したスライドが2枚含まれる。

Document lure used in APT28's latest campaign
マルウェア Graphite を利用した新たなキャンペーンで使用されるドキュメントの誘引
source: Cluster25

この PPT ファイルに含まれるハイパーリンクは、SyncAppvPublishingServer ユーティリティを用いて、悪意の PowerShell スクリプト起動のトリガーになる。この手法は、2017年6月から文書化されている。その当時、複数の研究者たちが、Office 文書内にネストされた悪意のあるマクロを使わずに、感染が行われる仕組みについて説明している (1234)。

Cluster25 は、発見されたメタデータに基づき、ハッカーは1月〜2月の間にキャンペーンを準備していたと述べている。しかし、攻撃に使用された URL は8月〜9月にかけてアクティブになったように見える。

Telemetry data from Cluster25 on APT28 using PowerPoint mouse-over technique to deliver Graphite malware
マルウェア Graphite を配布するための PowerPoint のマウスオーバー技法の利用
source: Cluster25

研究者たちによると、この脅威アクターたちは、EU/東欧の防衛および政府部門の事業体を標的としており、この諜報活動は現在も進行中であるようだ。

感染経路

ルアー文書をプレゼンテーションモードで開き、被害者がハイパーリンクにマウスを合わせると、悪意の PowerShell スクリプトが起動し、Microsoft OneDrive アカウントから JPEG ファイル DSC0002.jpeg がダウンロードされる。

この JPEG は、暗号化された DLL ファイル (lmapi2.dll) であり、復号化されて C:\ProgramData\ ディレクトリにドロップされ、その後に rundll32.exe を介して実行される。そして、この DLL ファイルに対しては、永続化のためのレジストリキーが作成される。

Triggering PowerShell execution
悪質なコード実行を「誘発 (Cluster25)

続いて、lmapi2.dll は、2番目の JPEG ファイルを取得して復号化し、DLL により事前に作成された新しいスレッド上で、それをメモリにロードする。

Cluster25 は、新たにフェッチされたファイル内の各文字列が、難読化のために異なる XOR キーを必要とすると詳述している。その結果として、ポータブル実行可能ファイル (PE:Portable Executable)  形式のマルウェア Graphite が生成される。

Graphite は、Microsoft Graph API と OneDrive を悪用して、C2 サーバと通信する。脅威アクターは、有効な OAuth2 トークンを取得するために、固定クライアント ID を使用してサービスにアクセスする。

Fixed client ID used by Graphite
Graphite で使用される固定クライアント ID (Cluster25)


新しい OAuth2 トークンを使用して、Graphite は Microsoft Graph API に対してクエリーを実行し、OneDrive のサブディレクトリのチェックにある子供ファイルを列挙して、新しいコマンドを探しだす、と研究者たちは説明している。

Cluster25 は、「新しいファイルが見つかった場合、コンテンツがダウンロードされ、AES-256-CBC 復号アルゴリズムにより復号される。このマルウェアはメモリの新しい領域を確保し、新しい専用スレッドを呼び出し、受け取ったシェルコードを実行することで、リモート・コマンド実行を可能にする」と述べている。

Graphite マルウェアは、攻撃者が他のマルウェアを、システム・メモリにロードできるようにすることを目的としている。

このマルウェアは、Trellix (McAfee Enterprise と FireEye が合併した事業体) の研究者により、1月に文書化されている。Microsoft Graph API を活用して OneDrive を C2 として使用することから、このように名づけられたという。

Trellix が調査したキャンペーンでは、parliament_rew.xlsx/Missions Budget.xlsx というタイトルの Excel 文書が使われており、政府職員や防衛産業の個人を標的にしていると見られている。

同社は、2018年のマルウェア・サンプルとのコードの類似性および、ターゲティング/攻撃に使用されたインフラなどに基づき、Graphite を低~中程度の信頼度で APT28 に起因するものと分析している。

PPT ファイルのハイパーリンクにマウスを合わせるだけで感染するという、かなり強力なマルウェアですね。しかも、VBA 非依存ということなので、ほぼ、プロテクション不能という感染経路になってしまいます。これまで、Excel や Word を介したマルウェアは沢山ありましたが、PowerPoint というのは、初めて見た気がします。よろしければ、Office で検索も、ご利用ください。

%d bloggers like this: